Image default
Bezpieczeństwo

Google leci w kulki. I to mnie drażni. Ale ma też rację… :/

Nie cichną echa afery nad czytaniem przez programistów firm trzecich naszych maili w poczcie Gmail, o czym doniósł wczoraj The Wall Street Journal. Stanowisko zajął Google, ale przyjmując postawę obronną i nie odnosząc się do tej publikacji.

We wpisie na blogu Google możemy przeczytać, jak to twórca najpopularniejszej przeglądarki dokłada wszelkich starań, aby nasze dane – w tym treści przechowywane w skrzynce pocztowej – były bezpieczne. Absolutnie nikomu w Google nie wolno zaglądać do zawartości Gmaila, a jedyne odstępstwa od tej reguły pojawiają się wyłącznie, kiedy sam/-a o to poprosisz lub pojawią się szczególne okoliczności, które tego będą wymagały.

Dodatkowo Google zapewnia, że programiści firm trzecich muszą przejść szczegółową weryfikację

oraz przedstawić do czego dane zbierane przy logowaniu z użyciem Gmaila będą potrzebne oraz jakie będzie ich użycie. Jeśli coś jest niezgodne z zasadami Google, nie ma szans, aby określone rozwiązanie mogło przejść, a gigant pozwala sobie na okresowe kontrole, czy przypadkiem zadeklarowane zasady nie są łamane.

Wygląda w porządku, prawda? Ale w tym samym wpisie Google możemy też przeczytać, że sami wyraźnie jesteśmy proszeni o udzielenie zgód.

Przy udzielaniu zgody jakiejś usłudze lub apce mamy wypisane, czego ona będzie dotyczyć oraz do jakich danych otworzy furtkę. I niestety, ale zgadzając się na dostęp aplikacji firmy trzeciej do naszego konta pocztowego – pozwalamy, aby faktycznie rozwiązanie mogło z tego prawa korzystać. I pół biedy, kiedy dla celów reklamowych zrobi to automat. Ale gorzej, gdy wpada to w ręce programistów.

I jakkolwiek Google do publikacji się nie odnosi, to wiadomo, że to o nią chodzi. Drażni mnie więc postawa firmy, która administruje w ramach swoich usług aż tyloma informacjami przeze mnie zostawianymi i w ramach narzędzi, które mi oferuje, a unika bezpośredniego odniesienia się do zarzutów podniesionych w publikacji prasowej. Dodatkowo nie ma dla mnie wytłumaczenia, że coś jest za darmo. Bo za darmo nie jest. Za pewne rzeczy od jakiegoś czasu już płacę firmie Google pieniędzmi, ale też – używam najwartościowszej waluty świata. I to moja prywatność nią jest. Bo to na niej Google zbija kokosy.

Ale Google ma też rację. Ciężko się ją przyznaje tak dużej firmie,

niemniej jednak – podpisałeś umowę na kredyt mieszkaniowy lub ratalny? Ano podpisałeś. Wg prawa oraz zgodnie z założeniami tej umowy – jesteś zobowiązany do płacenia comiesięcznych zobowiązań, a w zamian otrzymasz środki (lub instytucja, która pośredniczy w zakupie, np. sklep z elektroniką), dzięki którym to mieszkanie kupisz lub nabędziesz nowego laptopa, samochód, żelazko, smartfona, wyposażenie kuchni etc. Przyznam szczerze, że sprawa tutaj wygląda bardzo podobnie. Masz wyraźnie napisane w chwili nadawania dostępu, do czego firma trzecia będzie mieć uprawnienia.

Przykład, jak wygląda strona z nadawaniem uprawnień apce firmy trzeciej do naszego konta Gmail
Przykład, jak wygląda strona z nadawaniem uprawnień apce firmy trzeciej do naszego konta Gmail

Najchętniej zapytałbym dzisiaj Google – po cholerę komuś ten dostęp?

Nigdy tego nie rozumiałem. Właśnie do czytania lub redagowania w moim imieniu maili? No bez jaj! List to list. Cyfrowy, papierowy – list. Pracownik Poczty Polskiej w ramach usługi dostarczania listu nie ma prawa ani obowiązku zaglądać do koperty, którą pod mój adres niesie. Może swoją pracę bez przeszkód wykonywać bez czytania cudzych listów. Co więcej – cała placówka pocztowa doskonale sobie poradzi bez otwierania zaadresowanych na moje nazwisko kopert.

I to jest zasadniczy problem przy korzystaniu z dóbr cyfrowych – firmy technologiczne – nagle sobie bez tego grzebania w cudzej prywatności – nie radzą. Nie mają nawet narzędzi, które mogłyby to robić anonimowo. Więc zapędzają do ręcznej roboty programistów. A ci potem lecą do gazet i mamy ferment, który tylko ujawnia, jak ta zaawansowana technologicznie maszyna kuleje.

Zdecydowanie nie jest wesoło, Google. Zdecydowanie czas najwyższy by zacząć stawiać wyraźne granice.

Nawet za cenę dostępu do pewnych usług. Warto rozważyć, jak bardzo to zaufanie jest w tej chwili nadużywane. Rozumiem, że pewne narzędzia są lepsze, kiedy są lepiej profilowane. Ale w takim razie proszę wymyślić lepszy sposób na gromadzenie potrzebnych danych, jak np. anonimowe (albo i jawne) ankiety przed skorzystaniem z jakiegoś narzędzia. Rzucam tak na gorąco – z głowy. Bo nie wierzę, że nie ma sensownego sposobu na pozyskiwanie określonych danych, tylko czytanie cudzej korespondencji.

Zdjęcie tytułowe:  Liam Tucker z serwisu stockowego Unsplash

7 komentarzy

Jerzy Jabłoński Wrzesień 10, 2018 at 9:39 pm

Problem z tą aferą jest taki, że przyznajesz dostęp do danych aplikacji. Co jest ok – klient pocztowy musi mieć dostęp do maila, żeby go wyświetlić czy pokazać skrót wiadomości w powiadomieniu bo jak inaczej miałby to zrobić? Ale dostęp dla aplikacji tutaj automatycznie oznacza dostęp dla programisty (i firmy dla której pracuje) co już nie jest ok. Wiem, że w naszym kraju przyjmuje się, że aplikacja = firma która ją tworzy, ale już w języku angielskim apka = apka. Stąd burza o te dostępy. Bo gdyby chodziło tylko o przetwarzanie przez aplikację ze względu na sposób jej pracy to nikt by pewnie słowem nie pisnął. A tak Google i system udostępniania leci w kulki bo mimo informacji, że nie udostępnia informacji osobom trzecim a tylko aplikacji to robi inaczej.

Ciekaw jestem, czy uda się wymusić na Google zmianie z “allow Sample Application” na “allow Company X and Sample Application”.

Michał Brożyński Wrzesień 10, 2018 at 9:39 pm

Ciekawe rozróżnienie. Nie wpadłem wcześniej na to. Przykład z klientem pocztowym do mnie przemawia, ale nie tylko klienci pocztowi o takie uprawnienia proszą i to jest zasadniczy problem. Myślę, że Google doskonale zdaje sobie sprawę z tego wszystkiego, ale tak naprawdę musiałby wywrzeć odpowiednią presję na głównych partnerach, czyli – jak słusznie zauważasz – firmach.

Adrian Wrzesień 10, 2018 at 9:39 pm

Najbardziej o swoje marne i nudne życie prywatne dba zwykły paranoik. Przecież deweloper piszący taką aplikację chce pewnych uprawnień do jej funkcjonowania i jest w pełni świadomy obowiązującego go prawa. To nie tak, że bierze on do domu maile jakiegoś użytkownika i śmieje się z nich w gronie znajomych. To tak samo jakby pani ze szpitalnej recepcji brała do domu dossier pacjentów i robiła z niego dalszy użytek. A gdzie inni urzędnicy mający dostęp na przykład do tejemnicy bankowej? Czy oni mają podlegać pod kodeks moralny czy kodeks karny?

Michał Brożyński Wrzesień 10, 2018 at 10:21 pm

Oj nie jestem pewien. W tym raporcie WSJ wyraźnie ci programiści mówią, że mają dostęp do treści skrzynek. Z bankiem nie korespondujesz o chorobach, kochankach, nie przesyłasz mu loginów ani haseł, wycen, raportów finansowych, czy ustaleń ze wspólnikiem lub zapisu nowej strategii produktowej etc. I dlatego to jest takie trudne i drażliwe zarazem w kwestii poczty. Za paranoika się nie uważam, ale poczta to poczta. Moje i wara komukolwiek od tego.

Jerzy Jabłoński Wrzesień 17, 2018 at 2:15 pm

Jestem programistą, mam dostęp do wszystkich danych klientów moich klientów. Wszystkich(!) które oni przekazują firmie przez stronę internetową podczas zakupów. Od imienia i nazwiska zaczynając, na kompletnych danych bankowych kończąc. To nie jest tak, że programiści cokolwiek z tymi danymi robią czy nawet chcą robić. Generalnie wiemy że tam są, czasami jeżeli jest jakaś awaria czy fraud i trzeba przeprowadzić testy to z nich korzystamy. Ale poza tym są nam obojętne. To samo dotyczy programistów aplikacji na telefonach. Nam na prawdę jest obojętne, że jakiś Jan Kowalski ma tyle lat, taką żonę, taki i taki numer karty, a taki numer CCV, takie FB, takie maila, a taki czy inny telefon i tak dalej. Mamy wystarczająco dużo problemów ze sprawieniem, żeby durne specyfikacje klientów przeobraziły się w rzeczywistość żeby jeszcze bawić się w NSA i szpiegować innych.

Większość tych dostępów potrzebna jest ze względy na jakieś funkcjonalności aplikacji. I nie zdziwiłbym się, gdyby dostęp tego czy innego poziomu wymuszany jest przez API który jak daje dostęp do poczty na przykład to bez stopniowania że tylko do wysyłania (bo najczęściej o to chodzi) ale od razu do całości. Zgaduję, bo na Androida nic nigdy nie pisałem.

Jak pisałem wyżej – burza (na zachodzie) dotyczy według mnie raczej niuansów językowych i kulturowych bo informacja o przyznaniu dostępu dotyczy “aplikacji”, a nie “firmy deweloperskiej”. I nagle wielkie halo bo “jak to deweloper może czytać maila, przecież napisaliście że tylko aplikacja”. A w Polsce jak zawsze – na zachodzie się awanturują, to my też.

Michał Brożyński Październik 1, 2018 at 10:48 pm

Oj niekoniecznie, że my tez musimy się awanturować. Doskonale rozumiem to, o czym piszesz w kontekście programowania i dostępu do danych drażliwych. Przecież wszystkie firmy świata do takich danych dają dostęp, nawet na infoliniach. Przykład, który podałeś dokładnie opisuje, że te dane do których Ty masz dostęp, to dane takie typowo techniczne (jeśli mogę je tak nazwać). W senie – jak urzędniczy formularz: imię, nazwisko, numer karty itp. Rzeczy potrzebne do przeprowadzenia transakcji zakupowej, do wysyłki zakupionego produktu, do ewentualnego zwrotu środków etc. Natomiast mi (i sądzę, że reszcie też), chodzi o coś innego – maile to prywatna korespondencja. O tym, że w tym roku jest susza, a w zeszłym kury kiepsko niosły. Po cholerę zewnętrznej firmie te informacje? Po co ma je sprawdzać i przerzucać programista, jednocześnie czytając korespondencję? Przecież nikt automatem nie jest. A maile, to jednak bardziej angażująca historia, niż dane bankowe. Stąd cały ten dym.

Adrian Październik 1, 2018 at 10:48 pm

“Aplikacje innych firm przechodzą wieloetapową weryfikację przed uzyskaniem dostępu do wiadomości Gmail: Google”
https://www.thenewsminute.com/article/third-party-apps-go-through-multi-step-review-accessing-gmail-messages-google-84159

Tam jest to wyjaśnione dogłębnie. Kolega @jerzy_jab_o_ski:disqus mówi to samo. Ja bym bał się bardziej urzędników mających dostęp do moich wrażliwych danych. Korespodencja w kimś jest raczej ogólnikowa i mało interesuje dewelopera. Ludzie większe sekrety zanoszą do księdza, terapeuty i innych grup wsparcia. Sąsiadowi przy odrobinie alkoholu wyjawiają nie takie życiowe tajemnice. Temat jest rozbuchany do granic możliwości, a o bliźniaczej usłudze Microsoft Outlook, która działa dokładnie tak samo jakoś dziwnie cicho?

Komentowanie zamknięte